Abo
  • Services:

Wosign und Startcom: Mozilla macht Ernst mit dem Rauswurf

Mozilla hat auf der Entwicklermailingliste angekündigt, Zertifikaten von Wosign und Startcom mit der übernächsten Firefox Version 51 nicht mehr zu vertrauen. Die Version ist für den kommenden Januar geplant.

Artikel veröffentlicht am ,
Mozilla macht Ernst - neue Wosign-Zertifikate werden ab Firefox-Version 51 erst einmal nicht mehr akzeptiert.
Mozilla macht Ernst - neue Wosign-Zertifikate werden ab Firefox-Version 51 erst einmal nicht mehr akzeptiert. (Bild: Wosign)

Kathleen Wilson, die bei Mozilla für die CA-Policy zuständig ist, schlägt in einer Mail vor, sieben konkrete Root-Zertifikate von Wosign und Startcom aus dem Root-Programm zu entfernen.

Stellenmarkt
  1. EOS Holding GmbH & Co. KG, Hamburg
  2. DESIGNA Verkehrsleittechnik GmbH, Kiel

Diskutiert wird derzeit noch, ob mit dem kommenden Release Zertifikate bis Anfang Oktober 2016 akzeptiert werden sollen oder ob es für die beiden CAs noch bis 21. Oktober möglich sein soll, gültige Zertifikate auszustellen. Es gibt bereits einen Bugzilla-Eintrag unter der Nummer #1309707. Die Details werden noch diskutiert, der Vollzug der Entscheidung selbst dürfte aber nicht mehr angezweifelt werden.

Außerdem schlägt Wilson einige Maßnahmen vor. So sollen künftig keine Audits von Ernst & Young Hongkong mehr akzeptiert werden, das gilt für alle CAs in Mozillas Programm. Nach Ablauf der maximalen Gültigkeit der noch mit den künftig unvertrauten Root-Zertifikaten signierten Zertifikate werden die entsprechenden Root-Zertifikate auch aus dem Code von Mozillas Network Security Services (NSS) entfernt.

Startcom darf sich früher wieder bewerben

Wosign darf frühestens zum 1. Juni 2017 erneut einen Antrag auf Aufnahme in das Root-Programm stellen, Startcom schon vorher, wenn es nachweisen kann, dass es weder Code noch Personal mit Wosign teilt. Beide müssen aber darüber hinaus Auflagen erfüllen.

Im Certificate Practice Statement (CPS) muss erkennbar sein, wie künftiges Backdating von Zertifikaten verhindert werden könne. Außerdem sollen beide CAs einen Plan vorlegen, wie künftig alle Vorschriften der Baseline Requirements des CA/Browser-Forums eingehalten werden können. Diese Änderungen müssen auch von einem gültigen Audit bestätigt werden.

Außerdem müssen alle ausgestellten Zertifikate nach Maßgabe der Certificate Transparency in öffentliche Register eingetragen werden. Eines davon bei Googles eigenem Log-Service, darüber hinaus bei einem weiteren Anbieter, der nicht unter Kontrolle der jeweiligen CAs steht. Da es bislang noch keine entsprechenden Anbieter gebe, so heißt es in der Diskussion, könnte hier ein Auge zugedrückt werden, wenn entsprechende Bemühungen von Wosign und Startcom nachweisbar seien. Wosign hatte seinerseits bereits einige Maßnahmen ergriffen.



Anzeige
Spiele-Angebote
  1. 1,29€
  2. (-68%) 12,99€
  3. 1,25€
  4. 59,99€

Apfelbrot 15. Okt 2016

Da frage ich mich gerade. Warum kein eigenes Updatesystem für die Zertifikate? Einmal...

Gonzales 14. Okt 2016

Sei mal dahingestellt, ob die Untaten von StartCom für mich als Kunden eine Relevanz...


Folgen Sie uns
       


Xbox Adaptive Controller (Herstellervideo)

Der adaptive Controller von Microsoft hilft Menschen mit Behinderung beim Spielen.

Xbox Adaptive Controller (Herstellervideo) Video aufrufen
Projektoren im Vergleichstest: 4K-Beamer für unter 2K Euro
Projektoren im Vergleichstest
4K-Beamer für unter 2K Euro

Bildschirme mit UHD- und 4K-Auflösung sind in den vergangenen Jahren immer preiswerter geworden. Seit 2017 gibt es den Trend zu hoher Pixelzahl und niedrigem Preis auch bei Projektoren. Wir haben vier von ihnen getestet und stellen am Ende die Sinnfrage.
Ein Test von Martin Wolf

  1. Sony MP-CD1 Taschenbeamer mit Akku und USB-C-Stromversorgung
  2. Mirraviz Multiview Splitscreen-Games spielen ohne die Möglichkeit, zu schummeln
  3. Sony LSPX-A1 30.000-Dollar-Beamer strahlt 80 Zoll aus 0 cm Entfernung

Google I/O 2018: Eine Entwicklerkonferenz für Entwickler
Google I/O 2018
Eine Entwicklerkonferenz für Entwickler

Google I/O 2018 Die Google I/O präsentiert sich erneut als Messe für Entwickler und weniger für konventionelle Nutzer. Die Änderungen bei Maps, Google Lens oder News sind zwar nett, spannend wird es aber mit Linux-Apps auf Chromebooks.
Eine Analyse von Tobias Költzsch, Ingo Pakalski und Sebastian Grüner

  1. Google Android P trennt stärker zwischen Privat und Arbeit
  2. Smartwatch Zweite Vorschau von Wear OS bringt neuen Akkusparmodus
  3. Augmented Reality Google unterstützt mit ARCore künftig auch iOS

Black-Hoodie-Training: Einmal nicht Alien sein, das ist toll!
Black-Hoodie-Training
"Einmal nicht Alien sein, das ist toll!"

Um mehr Kolleginnen im IT-Security-Umfeld zu bekommen, hat die Hackerin Marion Marschalek ein Reverse-Engineering-Training nur für Frauen konzipiert. Die Veranstaltung platzt inzwischen aus allen Nähten.
Von Hauke Gierow

  1. Ryzenfall CTS Labs rechtfertigt sich für seine Disclosure-Strategie
  2. Starcraft Remastered Warum Blizzard einen Buffer Overflow emuliert

    •  /